在 Active Directory 中配置帐户锁定策略

在本文中，您将了解如何在 Active Directory 中配置帐户锁定策略。我们将探讨 Active Directory 帐户锁定策略的可用选项并了解如何配置它们。

Active Directory 帐户锁定策略是一种安全策略，允许管理员确定用户帐户应被锁定的时间和时长。

在组织内，某些员工可能会尝试通过尝试不同的密码来登录其他用户的帐户。目的是访问其他用户的帐户和信息。帐户锁定策略是防止在 Active Directory 环境中未经授权访问计算机的好方法。

总而言之，借助 Active Directory 帐户锁定策略可以避免对计算机进行未经授权的访问。由于锁定功能，入侵者将无法通过猜测密码进入系统。在本文中，我们将向您展示如何在 Active Directory 域中配置和管理帐户锁定策略。

在您进一步阅读之前，这里有一些关于 Active Directory 的有用帖子：

• 使用 Ntdsutil 重置 DSRM 管理员密码
• 使用 4 种简单方法查找用户的上次登录时间
• 如何使用 PowerShell 解锁用户帐户
• 允许域用户将计算机添加到域
• 创建细粒度的密码策略
• 如何启用 Active Directory 回收站

如何在 Active Directory 中配置帐户锁定策略

现在，我们将了解在 Active Directory 中配置帐户锁定策略的步骤。要访问帐户锁定策略设置，请执行以下步骤。登录安装了组策略管理工具的Windows Server。启动服务器管理器，然后单击工具 > 组策略管理。

在组策略管理控制台中，展开您的域并右键单击默认域策略，然后选择编辑。如果您希望使用自定义策略来配置帐户锁定，您可以创建一个新的 GPO 并将其链接到您的域。

在组策略编辑器中，转到计算机配置 > Windows 设置 > 安全设置 > 帐户策略。

选择帐户锁定策略，您将发现 Active Directory 中提供了三个帐户锁定策略选项。

1. 账户锁定时间
2. 账户锁定阈值
3. 重置帐户锁定计数器之后

在下一节中，我们将详细了解每个帐户锁定设置。

配置帐户锁定时间

帐户锁定持续时间安全设置确定锁定帐户在自动解锁之前保持锁定状态的总分钟数。锁定持续时间范围为 0 分钟到 99,999 分钟。

如果您将帐户锁定持续时间设置为0，则帐户将被锁定，直到管理员明确解锁为止。如果设置了账户锁定阈值，则账户锁定时间必须大于等于重置时间。

此策略设置的默认值是 30 分钟，我们将保持此值不变。

当您将帐户的锁定时间设置为 30 分钟时，其他两个策略的设置将发生变化。帐户锁定阈值和重置帐户锁定计数器后将自动设置新值。

配置帐户锁定阈值

帐户锁定阈值安全设置确定导致用户帐户被锁定的失败登录尝试次数。被锁定的帐户在管理员重置或帐户的锁定期限到期之前无法使用。

您可以将帐户锁定阈值设置为 0 到 999 次失败登录尝试。如果将该值设置为 0，则该帐户将永远不会被锁定。对已使用 CTRL+ALT+DELETE 或受密码保护的屏幕保护程序锁定的工作站或成员服务器尝试密码失败，将视为登录失败尝试。

启用定义此策略设置并配置无效登录尝试的值。在下面的示例中，帐户锁定阈值设置为 5 次无效登录尝试。

配置重置帐户锁定计数器之后

安全设置后重置帐户锁定计数器确定登录尝试失败后必须经过多少分钟才能将失败的登录尝试计数器重置为 0 次错误登录尝试。

可用范围为 1 分钟至 99,999 分钟。如果定义了帐户锁定阈值，则此重置时间必须小于或等于帐户锁定持续时间。

单击定义此策略设置，然后配置重置帐户锁定计数器的值。在以下示例中，该值设置为 30 分钟。

在 Active Directory 中配置帐户锁定策略后，关闭组策略管理控制台。您必须等待策略设置应用于客户端计算机。默认组策略刷新间隔为 90 分钟，但这里是修改 Windows 计算机的组策略刷新间隔的指南。

在客户端计算机上，如果您想尽早更新组策略设置，请以管理员身份启动命令提示符并运行命令 gpupdate /force。

使用 PowerShell 查看帐户锁定策略设置

在域控制器上，您可以通过运行简单的 PowerShell 命令来查看帐户锁定策略设置。这样可以轻松找到锁定策略设置，而无需编辑组策略。

要使用 PowerShell 查看 Active Directory 帐户锁定策略设置，请以管理员身份启动 PowerShell 并运行以下命令。

Get-ADDefaultDomainPasswordPolicy| select LockoutDuration, LockoutObservationWindow, LockoutThreshold

使用 RSOP 检查帐户锁定策略设置

如果以前的系统管理员已为您的组织配置了帐户锁定策略，您可以通过检查计算机上的策略结果集来查找帐户锁定策略设置。

策略结果集工具允许您发现哪些策略设置应用于本地和远程计算机。登录到客户端计算机并运行命令 rsop.msc。

在“策略结果集”控制台中，转至计算机配置 > Windows 设置 > 安全设置 > 帐户策略 > 帐户锁定政策。在右侧窗格中，您可以看到帐户锁定持续时间、阈值以及设置后重置帐户锁定计数器的值。

配置 Active Directory 帐户锁定策略的最佳实践

当您被要求在 Active Directory 中为您的组织配置帐户锁定策略时，必须格外小心。理想情况下，应定义每项策略的价值，以在安全性和便利性之间取得良好的平衡。以下是您可以遵循的价值观：

• 帐户锁定阈值设置为 20。
• 帐户锁定持续时间值设置为 15 分钟。
• 密码策略要求所有用户至少有 8 个字符。
• 将帐户锁定计数器的值设置为 30 分钟后重置。

测试用户帐户锁定策略

成功应用帐户锁定策略后，就可以测试该策略在您的组织中是否有效。如果 GPO 应用于整个域，请选择一台客户端计算机并尝试输入错误密码几次，直到帐户被锁定。

当帐户被锁定时，您将看到以下消息：引用的帐户当前已被锁定，可能无法登录。这确认您应用的 Active Directory 帐户锁定策略正在发挥作用。

要解锁用户帐户，您可以使用 Active Directory 用户和计算机控制台或 PowerShell 命令。打开Active Directory 用户和计算机。右键单击需要解锁帐户的用户，然后从上下文菜单中选择属性。在属性窗口中，单击帐户选项卡。选择解锁帐户复选框并保存更改。